هک شدن Tchap، پیام‌رسان جایگزین دولتی در فرانسه تنها چند ساعت پس از انتشار

برنامه پیام‌رسان Tchap، متعلق به دولت فرانسه که قرار است جایگزین برنامه‌های پیام‌رسان دیگر مانند واتساپ و تلگرام برای کارکنان دولت این کشور شود، هفته گذشته در اولین ساعات انتشار خود به‌دلیل داشتن یک آسیب‌پذیری‌ توسط یک محقق امنیتی هک شد.
۰۲ اردیبهشت ۱۳۹۸

آژانس امنیت سایبری فرانسه تحت حمایت دولت این کشور، هفته گذشته یک برنامه پیام‌رسان سفارشی با نام Tchap منتشر کرد که ادعا می‌شود از امنیت بیشتری نسبت به تلگرام و دیگر پیام‌رسان‌های متداول برخوردار است. با این حال، این پیام‌رسان تنها به‌فاصله زمانی یک ساعت پس از انتشار، توسط یک محقق امنیتی فرانسوی مورد آزمایش قرار گرفت و هک شد.

براساس خبرهای منتشر شده، رابرت باپتیست، محقق امنیتی، در همان ساعات ابتدایی انتشار برنامه Tchap، آن را از فروشگاه برنامه‌های گوگل دانلود کرده و هنگام ساختن حساب کاربری در این پیام‌رسان، متوجه یک آسیب‌پذیری امنیتی در آن شده است.

از آن‌جایی که این برنامه تنها برای کارکنان دولتی که دارای ایمیل‌های رسمی هستند ساخته شده است، ایجاد حساب کاربری در آن به‌طور کلی برای عموم کاربران محدود شده است. اما نتایج بررسی و گزارش‌های منتشر شده نشان می‌دهد که باپتیست با استفاده از یک ایمیل غیردولتی توانسته است در Tchap حساب کاربری بسازد و به اطلاعات گروه‌های موجود در آن دسترسی یابد.

براساس اطلاعات موجود، این موضوع به‌دلیل ضعف‌های ساختاری در مکانیزم اعتبارسنجی ایمیل در زمان ساخت حساب در Tchap رخ داده است که سبب می‌شود فرآیند ساخت حساب در این پیام‌رسان دور زده شود. 

رابرت باپتیست پس از شناسایی این آسیب‌پذیری و گزارش آن به سازندگان Tchap برای اصلاح این مشکل امنیتی، با انتشار گزارشی درباره جزئیات این آسیب‌پذیری گفته است که این پیام‌رسان تنها اجازه می‌دهد از ایمیل‌هایی رسمی با ساختاری مانند «presidence@elysee.fr» برای ساخت حساب استفاده کرد، درصورتی که او از ساختاری مانند «attacker@protonmail.com@presidence@elysee.fr» برای دور زدن مکانیزم اعتبارسنجی نشانی ایمیل‌ها و دریافت کد احراز هویت در «attacker@protonmail.com» استفاده کرده است.

 

 

توضیحات بیشتر در:

France’s ‘Secure’ Telegram Replacement Hacked in an Hour